파이어아이, 내년 국내 침해사고대응서비스 진출

파이어아이가 내년부터 국내 기업, 기관들을 대상으로 해킹사고를 조사, 분석하는 침해사고대응서비스로 내놓는다. APT 공격처럼 앞단에서만 막기 어려운 해킹사고를 사후 분석해 위험도를 파악하고, 필요하면 추가적인 보안조치를 취할 수 있도록 돕겠다는 것이다.

이 서비스는 파이어아이가 지난해 인수한 맨디언트를 통해 제공될 예정이다. 맨디언트는 2004년 미 공군 특수수사요원 4명이 설립한 회사로 미국 정부를 대상으로 한 침해사고대응서비스를 제공하면서 일반 기업들에게까지 서비스를 확대했다. 전 세계 17여개 국가, 평균 10년 이상 경력의 300명 이상 보안전문가들이 포진했다.

파이어아이에 따르면 APT 공격은 정부 산하 특수부대 혹은 정부가 범죄조직의 지원을 받는 실력자들이 수행하는 경우가 대부분이다.

때문에 개별 조직에서 APT 공격을 사전예방하고, 완벽하게 차단한다는 것은 사실상 불가능하다. 일반적으로 침해사고를 당한 PC, 서버 등에 대한 디스크 포렌식을 수행하나, 이들 중 한 대의 데이터를 분석을 위해 복사하는 작업만으로도 하루 이상 걸리는 경우가 많다.

맨디언트는 이런 한계를 극복하기 위해 침해흔적(IOC)을 추적하는 방식을 활용한다. APT 그룹 별 맞춤형 악성코드군에 대한 정보를 수집하며, 암호 덤프, 내부 스캔, 압축 암호화 등 APT그룹 별 공격도구를 파악한다. 이를 통해 해킹사고 발생 시, 공격주체, 공격방법, 공격대상에 대한 정확한 진단 및 대응 전략을 제시할 수 있다는 설명이다.

파이어아이코리아 윤삼수 전무는 "일종의 사이버 땅굴처럼 이미 공격자들이 국내에도 사이버 상에 거점을 확보하고, 활동하고 있는데 파악하지 못하고 있거나 잠시 휴면상태에 있는 경우가 있다"고 밝혔다. 그만큼 침해사고가 발생했다는 가정 아래 상시적인 분석이 필요하다는 설명이다. 건강검진에 비유하자면 모의해킹, 취약점 점검 등을 통한 일반건강검진에 더해 앞으로는 언제 어떻게 침투해있을지도 모르는 상황을 확인하기 위해 상시적인 사이

버 안전진단이 필요해질 것이라는 설명이다.

이 회사의 서비스는 크게 침해사고 흔적을 조사하는 'CA'와 침해사고대응서비스인 'IR'로 구성된다. CA는 타깃 공격의 존재와 활동여부를 빠르게 확인할 수 있는 기능을 제공한다. 기업들이 침해사고 흔적을 확인하고, 공격자 행위 정보를 수집한 뒤 재침입을 방지하기 위한 대응책을 수립할 수 있도록 도와준다. CA는 호스트 기반, 네트워크 기반 솔루션으로 구분되며 각각의 PC, 서버와 네트워크에 대한 가시성을 확보해 침해여부를 빠르게 확인할 수 있게 돕는다.

파이어아이는 맨디언트가 제공할 침해사고대응서비스(CA/IR)을 통해 사이버공격자의 침투 여부를 마치 정밀검진, 정기검진 하듯이 확인할 수 있게 할 것이라고 설명했다.

침해사고가 발생했다는 사실을 확인한 뒤에는 맨디언트 IOC를 이용한 검색으로 공격자의 행위 정보를 파악하고 침해사고 탐지 시간 최소화해 침입으로 인한 기업 손실을 방지한다.

CA는 맨디언트가 2004년부터 미국에서 제공해 온 서비스로 시스템에 대한 전수조사에 더해 수많은 침해조사 경험을 가진 전문가들, 위협 인텔리전스 정보, 악성코드 분석 전문팀의 협업을 통해 이뤄진다.

IR은 조직들이 사이버 공격으로부터 영향을 최소화하고 시스템을 복구하는데 최적화된 서비스다. 이 서비스는 침해탐지, 데이터 유출 과정 등 침해 상황에 대해 파하고, 각 기업, 기관들이 최우선 순위로 대응해야하는 위협에 대해 알 수 있게 한다. 기업, 기관들은 데이터 유출 상황을 파악하거나 공격 원인을 파악할 수 있게 된다는 설명이다. 맨디언트는 포렌식에서부터 악성코드 및 로그분석에 이르기는 분석기술을 활용해 침해 규모를 파악하고 침해 발생까지 경과를 타임라인 형태로 알려준다.